Frutto di un percorso articolato partito mesi fa, il nuovo decreto legge recante "disposizioni urgenti in materia di perimetro di sicurezza nazionale cibernetica" (e del quale Formiche.net ha visionato una bozza di schema che potrebbe essere tuttavia suscettibile di variazioni) è pronto e dovrebbe essere approvato in settimana durante il prossimo Consiglio dei Ministri

Mettere in sicurezza il 5G, al centro dello scontro globale tra Washington e Pechino, ma anche proteggere con specifici obblighi le parti informatiche più sensibili e cruciali del Paese.
Frutto di un percorso articolato partito mesi fa, il nuovo decreto legge recante “disposizioni urgenti in materia di perimetro di sicurezza nazionale cibernetica” (e del quale Formiche.net ha visionato una bozza di schema che potrebbe essere tuttavia suscettibile di variazioni) è pronto e dovrebbe essere approvato in settimana durante il prossimo Consiglio dei Ministri.

IL PERCORSO

Il testo del provvedimento – la cui uscita era stata anticipata su queste colonne – ricalca nella quasi totalità i contenuti del disegno di legge sul perimetro licenziato dallo scorso esecutivo gialloverde e del decreto legge sul Golden Power non convertito e dunque decaduto giorno 9 settembre.
Agire in fretta è divenuta una scelta obbligata. La mancata conversione del decreto che allungava i tempi di notifica e di istruttoria anche per l’applicazione dei poteri speciali anche per le reti e il contestuale lungo percorso che avrebbe atteso il disegno di legge sul perimetro hanno spinto il governo in carica a muoversi su due fronti. Il primo: esaminare subito la questione nel suo primo Cdm, deliberando l’esercizio dei poteri speciali su alcune delle notifiche presentate dalle telco in relazione ai contratti di fornitura stipulati con fornitori di tecnologia 5G, tra i quali figurano anche le cinesi Huawei e Zte. Ma la misura non risolveva strutturalmente il problema.
Da qui la necessità di procedere subito con nuovo decreto legge che potesse elevare in un colpo solo la sicurezza delle reti e dei sistemi più sensibili agendo su diverse criticità, includendo l’esercizio dei poteri speciali anche per le reti esplicitamente citato (e la cui disciplina potrebbe essere ulteriormente rafforzati in sede di conversione di legge da parte del Parlamento).

I CONTENUTI

I soggetti pubblici e privati che faranno parte del perimetro cyber (realtà che assicurano attraverso reti e sistemi informatici l’erogazione di servizi essenziali per gli interessi del Paese) – secondo il testo – dovrebbero essere identificati “entro quattro mesi (prima erano sei, ndr)dalla data di entrata in vigore della legge”.
Sempre in quattro mesi (sei in precedenza), l’organismo tecnico di supporto al Cisr (il Comitato Interministeriale per la Sicurezza della Repubblica, composto dal presidente del Consiglio e dai ministri di Affari esteri, Interno, Difesa, Giustizia, Economia e finanze e Sviluppo economico, con il direttore generale del Dis al quale sono assegnate le funzioni di segretario del Comitato) e la presidenza del Consiglio dei ministri (nel disegno di legge era l’Agid) dovrebbero definire i criteri in base ai quali i soggetti predisporranno e aggiorneranno “con cadenza almeno annuale un elenco – poi diffuso agli organismi di competenza – delle reti, dei sistemi informativi e dei servizi informatici” sensibili “di rispettiva pertinenza, comprensivo della relativa architettura e componentistica”.
Entro dieci mesi (dodici nel ddl), dovrebbero essere definite invece le procedure secondo cui i soggetti individuati notificheranno gli incidenti informatici allo Csirt italiano. Sempre entro dieci mesi (anch’essi dodici in precedenza) è prevista la definizione delle misure volte a garantire gli elevati livelli di sicurezza previsti per i soggetti identificati -, relative a: politiche di sicurezza; gestione del rischio; prevenzione, mitigazione e gestione di incidenti; struttura organizzativa in materia di sicurezza; protezione fisica e logica; protezione dei dati; integrità delle reti e dei sistemi informativi; continuità operativa; gestione operativa; monitoraggio, test e controllo; formazione e consapevolezza; affidamento di forniture di beni, sistemi e servizi Ict, anche mediante definizione di caratteristiche e requisiti di carattere generale.
In questo processo, oltre all’intelligence, un ruolo centrale, secondo la bozza, verrà recitato dal Centro di Valutazione e Certificazione Nazionale, il Cvcn, istituito presso il Mise, chiamato a controllare tecnicamente gli apparati e dare prescrizioni.
Chi non rispetterà quanto previsto dalle nuove norme – che finanziano anche le nuove strutture e il personale necessario – andrà incontro a pesanti sanzioni e, in alcuni casi, anche alla reclusione.

Condividi tramite